Schädliche Proggs und deren Quelle |
||
---|---|---|
#0
| ||
22.01.2006, 12:12
Member
Beiträge: 11 |
||
|
||
22.01.2006, 12:42
...neu hier
Beiträge: 8 |
#2
Hallo,
könntest du noch mal näher erläutern was Wareout oder der hier genau mit dem "Dialerparasiten" zu tun haben sollen? Edit und falls du die Einträge in die hosts von Posting #4 meinst, so sind diese von Kazaa erstellt, und blocken nur, leiten aber auf keine andere Seite um, was soll daran verwerflich sein? Grüße Wildone Dieser Beitrag wurde am 22.01.2006 um 12:46 Uhr von Wildone editiert.
|
|
|
||
22.01.2006, 12:45
Member
Themenstarter Beiträge: 11 |
#3
Sorry, kann die URL zwar aufrufen, bekomme aber einen Error "The requested URL cannot be found on this server! "
Um was genau gehts da ? |
|
|
||
22.01.2006, 12:49
...neu hier
Beiträge: 8 |
#4
Hallo,
habe den Link noch mal verbessert, geht er jetzt? Zitat Um was genau gehts da ?Um einen der Schädlingw den der User aus dem von dir verlinkten Beispielthread hat. Zu den host Einträgen habe ich oben noch mal was im Edit geschrieben. Grüße Wildone |
|
|
||
22.01.2006, 13:07
Member
Themenstarter Beiträge: 11 |
#5
Nun wirds etwas klarer, die meisten Kazaaclienten die derzeit wohl in Benutzung sind, stammen ebenfalls aus der obigen Quelle.
Schau einfach mal nach wer die Seiten betreibt, die diese Proggs anbieten, und du wirst fast immer fündig. Der Programmcode ist längst verändert worden, aber nicht zum nutzen der User. |
|
|
||
22.01.2006, 13:12
...neu hier
Beiträge: 8 |
#6
Hallo,
okay mein Fehler, viele (nicht alle) Einträge sind von Kazaa light (ohne die Adware die normalerweise von Kazaa mitgeliefert wird). Und die Einträge bewirken das gefährliche Seiten und Werbung geblockt werden (dir sagt die host 127.0.0.1 etwas?) und sind dort zum Nutzen des Users. Gefährlich wird es erst wenn man durch die host Dateien auf andere Seiten umgeleitet wird, dies wird in deinem Beispielthread aber nur von diesem einzelnen Eintrag(im HijackThis Log): O1 - Hosts: 213.159.117.51 download.globaldialer.net bewerkstelligt. Grüße Wildone |
|
|
||
22.01.2006, 13:30
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo Hausgeist
ich finde alle Diskussionen interessant, die zum Ursprung von Malware fuehren koennen. Allerdings ist in deinem aufgefuehrten Thred eine O17 - HKLM\System\CCS\Services\Tcpip\..\{19A802FD-28FC-4C21-9E2A-AA3410919862}: NameServer = 85.255.116.155,85.255.112.203 vorhanden, welche gehoert zu: Zitat inetnum: 85.255.112.0 - 85.255.127.255wir bezeichnen diese Malware als Wareout und wie ich bisher mitbekommen habe, installiert sie sich wenn man sich auf bestimmten, gewissen... Seiten rumdrueckt...... Nun meine Frage: was hat das mit dem von dir angesprochenen Dialer zu tun ? Glaubst du, dass es da einen Zusammenhang gibt ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.01.2006, 13:35
Member
Themenstarter Beiträge: 11 |
#8
*grins* der beste Host is der Local Host, gelle
Das Prob sind ja grad die Versionen die aus, für den "Normalverbraucher" nicht offensichtlichen unsicheren Seiten, runtergeladen werden. Intressante IP, kam aus RU, wurde aber über 2 weitere geleitet... der Reversecheck bringt dann ne ellenlange Liste der Knoten, selbst jetzt kamman das noch sehn. Edit: huhu Sabrina, dadurch das dieser ****** auch zig Schmuddelseiten hat, die alle verteilt auf teilweise Ausländischen Servern liegen, würds mich nicht wundern. |
|
|
||
22.01.2006, 13:46
...neu hier
Beiträge: 8 |
#9
Hallo,
als noch ein letztes mal, die host Einträge sind harmlos und dazu da Werbung zu blockieren (mit Einschränkung von dem einen genannten). Was die veränderte DNS angeht so kann das durchaus sein das die etwas mit dem Dialerkerl zu tun haben, aber diese Behauptung müßtest du dann doch noch etwas mit Fakten unterfüttern. Es soll ja auch noch andere Bösewichte in den weiten des Internets geben. Grüße Wildone |
|
|
||
25.01.2006, 00:18
Member
Themenstarter Beiträge: 11 |
#10
Das Prob dabei ist, wenn kurzfristig Seiten umgeleitet werden, haste später nicht mehr viel was auf einen speziellen "Freund" hinweist.
Wenn muss man schaun was eine aktuelle Liste der aufgezeigten URL's ergibt, anhand von WhoIs Abfragen können dann auch Quervervindungen zu LTD's ect. hergestellt werden. Sicherlich gibts noch andere, neuste Masche ist das Anbieten von Gratis SMS, doch wer meint nur das "Schnupperangebot" mal mitzunehmen, der irrt, in vielen Fällen hat man dann plötzlich ein Abo am Hacken. Einzig die sofortige mehrmalige Kündigung bringt Abhilfe, wers verpennt hat erstmal ne Rechnung im Kasten. |
|
|
||
Nach einigem Suchen ist mir aufgefallen das oft ein und derselbe Name, und dessen Auswirkungen hier autauchen.
Es geht um Filesharingproggs bzw. angebliche Hilfetools oder Plugins, die oftmals arglos von Usern installiert werden.
Die Schadprogramme sind leider weit verbreitet, ihre Namen kennt allerdings nicht jeder.
Am häufigsten anzutreffen ist wohl die k.exe, die aber auch unter k1.exe, k2.exe, gewinnspiel.exe,
und seit neuestem unter help.exe auf den Rechnern lauern.
Alle diese Programme haben eine Quelle, und diese Quelle versiegt anscheinend nicht.
Der Ursprung dieser Quelle ist ein dafür bekannter, und auch schon verurteiter Dialerparasit,
sein Name, Mario Dolzer (er darf laut Urteil als Parasit bezeichnet werden).
Es finden sich zahlreiche Berichte und Artikel dazu im WWW, hier nur ein kleiner Ausschnitt.
http://www.onlinekosten.de/news/artikel/19721 Aktueller Bericht auf Onlinekosten
http://www.heise.de/newsticker/meldung/62538 Beweis für Trojanerverteilung von Heise
http://www.dslteam.de/news/artikel/19088 Urteil zur Bezeichnung als Dialerparasit
Das neueste "Tool", die help.exe, wird derzeit nur vom http://www.nod32.de/home/home.php Antivirenprogg NOD32 ,
als Schadprogramm erkannt und auch beseitigt.
Das fatale an den aufgezählten Mieslingen spiegelt sich in http://board.protecus.de/t21450.htm diesem Thread wieder.
Die Liste der Seiten die dort im Posting 5 stehn ist ellenlang, nur das die Bookmarks nicht unbedingt vom User gemacht werden müssen,
die Schadproggs machen das selbst und mir Absicht.
Zusätzlich sammeln sie noch Daten, von denen der User nicht unbedingt etwas mitbekommt, und füttern so die Quelle noch mit Infos.
Diese Infos werden dann ausgenutzt um andere evtl. kräftig abzocken zu können, siehe den Bericht von Onlinekosten.
Ich habe dieses Posting verfasst um alle ein wenig über die Problematik aufzuklärn,
hoffe es findet bei euch Beachtung.
gruß
Hausgeist
Ps: ein Anpinnen wäre evtl. fein